Individuazione dei rischi e protocoll

Le procedure di individuazione dei rischi e la progettazione del sistema di controllo – i c.d. protocolli – consistono nell’analisi iniziale del contesto aziendale, al fine di individuare le aree e i settori di attività all’interno delle quali si potrebbero potenzialmente verificare illeciti ed eventi pregiudizievoli per gli obiettivi indicati dal D.Lgs. n. 231 del 2001, e nella successiva valutazione del sistema esistente all’interno dell’ente per la prevenzione dei reati ed il suo eventuale adeguamento a seguito di cambiamenti aziendali. Dal punto di vista operativo, i passi che l’ente dovrà compiere per l’attivazione di un sistema dei rischi saranno i seguenti: • mappatura delle aree aziendali a rischio e dei reati rilevanti; • mappa documentata delle potenziali modalità attuative degli illeciti nelle aree a rischio;

• descrizione documentata del sistema dei controlli preventivi attivato e degli adeguamenti eventualmente necessari.

Nello specifico, nella fase di mappatura, «occorrerà individuare le fattispecie di reato

rilevanti per l’impresa e parallelamente le aree che, in ragione della natura e delle caratteristiche delle attività effettivamente svolte, risultino interessate da eventuali casistiche di reato. Bisogna avere particolare riguardo alla “storia” dell’ente, ovvero ad eventuali accadimenti pregiudizievoli che possano avere interessato la realtà aziendale e alle risposte individuate per il superamento delle debolezze del sistema di controllo interno che abbiano favorito tali accadimenti»33_{. Inoltre, l’analisi si pone l’obbiettivo di condurre}

a una rappresentazione, il più possibile precisa, di come le fattispecie di reato possono essere attuate rispetto al contesto operativo interno ed esterno in cui opera l’azienda. Il conseguente sistema di controlli preventivi dovrà essere tale da garantire che i rischi siano ridotti ad un “livello accettabile”: il rischio è ritenuto accettabile quando i controlli aggiuntivi sono più onerosi della risorsa da proteggere34_{. A questo fine, Confindustria}

33 _{CONFINDUSTRIA, Linee Guida per la costruzione dei Modelli di Organizzazione, Gestione e Controllo ex d.lgs.} 231/2001, approvate il 7 marzo 2002 e aggiornate al marzo 2014, in www.confindustria.it, p. 33.

34 _{CONFINDUSTRIA, Linee Guida per la costruzione dei Modelli di Organizzazione, Gestione e Controllo ex d.lgs.} 231/2001, approvate il 7 marzo 2002 e aggiornate al marzo 2014, in www.confindustria.it, p. 29.

indica alcuni componenti del sistema di controllo interno, che non saranno oggetto di approfondimento, ribadendo che in relazione alle piccole e medie imprese, per le quali è irrealistico imporre l’utilizzo degli strumenti a disposizione delle grandi organizzazioni, potranno essere utilizzate soltanto alcune componenti di controllo, escludendone o semplificandone quindi altre.

Nella fase di individuazione dei rischi e protocolli, è opportuno considerare che le

piccole e medie imprese sono caratterizzate da una struttura meno complessa rispetto ad altre realtà, nonché da minori risorse da poter dedicare alla predisposizione di un modello organizzativo e ai relativi controlli. All’interno di una piccola impresa, la coincidenza tra l’ente e il soggetto persona fisica – sovente lo stesso imprenditore – è così forte che diventa più difficile, ma non impossibile, escludere la volontà dell’ente quando si verifichino i reati previsti dal D.Lgs. n. 231/200135_.

Per favorire l’utilizzo delle metodologie prospettate per gli altri enti sulla individuazione dei rischi ed elaborazione dei relativi protocolli anche da parte degli enti di piccole e medie dimensioni, Confindustria ha predisposto uno schema più flessibile, sul quale l’aspetto dimensionale si limita a influire, ai fini del processo di gestione dei rischi, sulla complessità dell’analisi – in termini di numerosità e articolazione delle funzioni aziendali interessate e di casistiche di illecito aventi potenziale rilevanza per l’ambito di attività – sulle modalità operative di conduzione dell’attività di gestione dei rischi – la quale potrà essere svolta direttamente dall’organo dirigente, non con il supporto di funzioni interne aziendali, bensì eventualmente con apporti professionali esterni – e, infine, sull’articolazione dei controlli preventivi. Riprendendo quanto suddetto, questi enti potranno utilizzare soltanto alcuni dei protocolli indicati e, eventualmente, anche in forme semplificate. Infine, per le PMI sono state definite procedure semplificate – “standardizzate” – per gli adempimenti documentali relativi, in particolare, alla valutazione di rischi36_. 35 _{CONFINDUSTRIA, Linee Guida per la costruzione dei Modelli di Organizzazione, Gestione e Controllo ex d.lgs.} 231/2001, approvate il 7 marzo 2002 e aggiornate al marzo 2014, in www.confindustria.it, p. 81. 36 _{CONFINDUSTRIA, Linee Guida per la costruzione dei Modelli di Organizzazione, Gestione e Controllo ex d.lgs.} 231/2001, approvate il 7 marzo 2002 e aggiornate al marzo 2014, in www.confindustria.it, p. 80-81.

4.2.2 Codice etico

L’adozione del codice etico è rilevante ai fini dei reati previsti dal D.Lgs. n. 231 del 2001 e costituisce un elemento essenziale del sistema di controllo preventivo. Si tratta di un documento ufficiale dell’ente, voluto e approvato dal massimo vertice, che contiene l’insieme dei diritti, dei doveri e delle responsabilità dell’ente, mirando a raccomandare, promuovere o vietare determinati comportamenti, indipendentemente da quanto previsto a livello normativo, e possono prevedere sanzioni proporzionate alla gravità

delle eventuali infrazioni commesse37_.

Confindustria ha predisposto i contenuti minimi del codice etico, rispettivamente

in relazione ai reati dolosi e colposi38_.

Nel primo caso, l’ente deve porsi come principio imprescindibile il rispetto delle

leggi e dei regolamenti vigenti in tutti i paesi in cui esso opera, i dipendenti devono essere a conoscenza delle leggi e dei comportamenti conseguenti, pertanto l’ente è tenuto a informarli nel caso di incertezze sul tema, attraverso un adeguato programma di formazione e sensibilizzazione continua. Ogni operazione e transazione deve essere correttamente registrata, autorizzata, verificabile, legittima, coerente e congrua e vi deve essere un supporto documentale al fine di rendere possibile la verifica del processo e l’effettuazione dei controlli. Con riguardo agli atti di corruzione, il codice etico deve contenere i principi base relativamente ai rapporti con gli interlocutori dell’ente: Pubblica Amministrazione, pubblici dipendenti e, nel caso di enti concessionari di pubblico servizio, interlocutori commerciali privati.

In relazione ai reati colposi, l’impresa dovrebbe esplicitare e rendere noti i principi

e criteri fondamentali in base ai quali vengono prese le decisioni in materia di salute e sicurezza sul lavoro, anche alla luce delle misure generali di tutela di cui all’art. 15 del D.Lgs. n. 81 del 2008. In riferimento ai reati in materia ambientale, il Codice etico deve enunciare chiaramente l’impegno dei vertici aziendali a rispettare la legislazione in materia ambientale e ad attuare misure preventive per evitare o quantomeno

37 _{CONFINDUSTRIA, Linee Guida per la costruzione dei Modelli di Organizzazione, Gestione e Controllo ex d.lgs.} 231/2001, approvate il 7 marzo 2002 e aggiornate al marzo 2014, in www.confindustria.it, p. 46.

38 _{CONFINDUSTRIA, Linee Guida per la costruzione dei Modelli di Organizzazione, Gestione e Controllo ex d.lgs.} 231/2001, approvate il 7 marzo 2002 e aggiornate al marzo 2014, in www.confindustria.it, p. 46-49.

Nel documento L'applicazione del D.Lgs. n. 231 del 2001 nelle piccole e medie imprese venete (pagine 79-81)